levélszűrő megoldás, 2000+ felhasználó [megoldva]

Spam, Adathalászat

Sziasztok,

Levélszűrő megoldást keresek nagyvállalati környezetbe.
Olyan rendszer érdekelne, ami:

- A jelenlegi licencdíjas megoldás kiváltására alkalmas
- Lehetőleg ingyenes, szabad szoftver
- Lehetőleg linux/bsd/egyéb (nem ms) alapú
- Képes megvédeni ~2000 postafiókot
- Szoftveres megoldás, több szerverünk is van a feladatra
- A telepítést és támogatást (üzemeltetéshez betanítást) garanciával vállalja egy cég

Ha van ötletetek, szívesen várom.
Akár konkrét ajánlatokat is.
Demózni is lehet, helyszín: Budapest.

előre is thx

  • 5927 megtekintés

( gyorik v | 2011. 03. 11., p – 09:59 )

Postfix+courier+spamassasin+amavis? Teljesen ingyenes és vígan elvisz 2000 fiókot.

ha a licenszdíj a szerverek számától függ, akkor az egész elé rakjatok pl. egy postfixet, ami SMTP szabályok alapján csinál egy előszűrést, de pl. tartalom alapján már nem szűr.
Ez nagyon egyszerű, minimális teljesítményigényű, szinte 0 karbantartást igényel, viszont a levelek felét kapásból kiszórja, így a mögötte levő 4 szerverből lehet, hogy elég 2 is.

A clamav és a spamassassin naprakészségét. Ezt onnan vettük észre és szerencsére főleg spameknél, hogy az Exchange-en ülő Symantec csoda még az igen szigorúra állított Exim+clamav+SA -n átjutó maileken is tudott szűrni.

A bónusz, hogy az Exim-es frontenden többször fordul elő fals pozitív. Itt sokezerből egy-egyre kell gondolni, de persze mindíg az az überfontos levél. :) Ezzel persze együtt tudunk élni. :)

Ezzel együtt hatalmas terhet vesz le az Exim a clamavval, SA-val, szürkelistával, DKIM-mel stb-vel megtámogatva a Windows-os a belső cuccról. A fiókok száma itt olyan 150 körüli lehet és néhány ezres a napi email forgalom, amibe most csak a "rendeseket" értem bele.

/*
Lásd még: "mindíg azaz überfontos levél".

A t. felhasználó pedig ilyenkor mindíg ezekből merít (és munkaidő vége előtt 5 perccel), csak néhány példa:
- my very important email was lost AGAIN
- help ASAP SOS, i cannot send/receive emails
- i got all the spams but not any my mails are sent
- email system malfunctioning

Alig fárasztó ám elmagyarázni, hogy a valóság az "picit" más, mint amit "érzékel".
*/

lehetseges valaszok:

> - my very important email was lost AGAIN

we never refuse any email, only virus infected emails

> - help ASAP SOS, i cannot send/receive emails

show me your [outlook] settings and the error message

> - i got all the spams but not any my mails are sent

please check your quarantine

> - email system malfunctioning

if it's true, how could I read your complaining?

Amugy tenyleg farasztok tudnak lenni a userek... :-)

A fidesz nem birja elviselni a Ferihegy nevet - politika, flame és offtopic huppereknek szabadon!

Nezzuk csak, ilyen opcioink vannak?

A) DATA utan eldobod, megy vissza bounce a (legitim) feladonak. Az megkapja, wtf-el vagy kettot, es atmegy a konkurenciahoz.

B) DATA utan elfogadod a levelet es csak tag-eled, igy a cimzett x kesleltetes (es nemi szabadkozas) utan megtalalja.

Melyik a realisabb a _kuldo_ szempontjabol?

A fidesz nem birja elviselni a Ferihegy nevet - politika, flame és offtopic huppereknek szabadon!

ööööö...

a) a legitim feladó visszakapja, majd felveszi a telefont, és közli a címzettel a problémát, mire az illető felveszi a telefont, felhívja és lebassza a rendszergarázdát, aki pár perc billentyűpüfölés után a problémát megoldja

b) elfogadod a levelet, tageled, a címzett nem teszi automatikusan spam folderbe => ugyanannyi spamje lesz, mintha nem lenne szűrés

c) elfogadod a levelet, tageled, a címzett beteszi automatikusan a spam folderbe, ott a büdös életben nem fogja nézegetni, a küldő számára ez = /dev/null, hiszen ő nem tudja, hogy szólnia kéne, hogy gáz van, a címzett meg nem tudja, hogy neki jött valami, és a spam folderban kéne nézelődnie

a) a legitim feladó visszakapja, majd felveszi a telefont, és közli a címzettel a problémát,

Hat, ha te ezt _realis_ alternativanak tartod... :-) Nem tudom, 10 esetbol hany ember venne a faradtsagot, es izzadna x ceggel, ahelyett, hogy atmenne a konkurenciahoz, ahol ki van adva ukazba a dogozoknak, hogy naponta 1-2x nezzek meg a junk foldert. Arrol nem is beszelve, hogy vajon az emlitett garazda megis hogyan kepes nemi pufolessel megoldani azt a problemat, hogy x nem tud nekem levelet kuldeni...

A fidesz nem birja elviselni a Ferihegy nevet - politika, flame és offtopic huppereknek szabadon!

Igazad van, akik ismeretlenektől szeretnének levelet kapni, azokon nem segít a spamszűrés.
Nekik szopás van...

Azért az átlag felhasználó leginkább olyan emberektől vár/kap levelet, akik ismerik is őt személyesen, és nem jó nekik bárki helyettesítő (ha Pistikével akarok valamit közölni, nem segít rajtam, ha helyette Józsikának tudok levelet küldeni).

Arrol nem is beszelve, hogy vajon az emlitett garazda megis hogyan kepes nemi pufolessel megoldani azt a problemat, hogy x nem tud nekem levelet kuldeni...

A spamassassin konkrétan szabályokkal hekkelhető.
Mondjuk azt mondom, hogy ha a feladó X, címzett Y, akkor -20 pont, innen már nehéz neki veszteni.

Azért az átlag felhasználó leginkább olyan emberektől vár/kap levelet, akik ismerik is őt személyesen

lehet, de hogy oldod meg a problemat a spamszuro irok fejevel? Mert ha adott egy ceg, ahol 18 csak ismert feladoktol var levelet, de 2 meg barkitol, akkor oda csak olyan megoldas jo, ami ennek a 2-nek (es az egyik garantaltan a ceg CEO-ja) is jo. Ha pedig az info@ (vagy hasonlo cimek) jellemzoen minden domainben vannak, akkor a te otleted nem feltetlen mukodik IRL.

Igazad van, akik ismeretlenektől szeretnének levelet kapni, azokon nem segít a spamszűrés.
Nekik szopás van...

Talan megsem, csak olyan megoldas kell, ami eleg jol azonositja a spameket, es kicsi az FP-rataja...

A spamassassin konkrétan szabályokkal hekkelhető.
Mondjuk azt mondom, hogy ha a feladó X, címzett Y, akkor -20 pont, innen már nehéz neki veszteni.

szerintem az SA nem tud olyat, hogy DATA utan eldobja a levelet, vagy ha megis, akkor vilagosits fel, mert nem akarok leegni a tanfolyamon spamassassin-bol... :-) Amugy szerintem az SA-patkolas azert nem trivialis, mert a legitim levelek feladoja _barki_ lehet.

A fidesz nem birja elviselni a Ferihegy nevet - politika, flame és offtopic huppereknek szabadon!

szerintem az SA nem tud olyat, hogy DATA utan eldobja a levelet

exim + spamd tud ilyet.
egy (nagy) baja van azonban: egy levélre egyszer hívja meg (nem per címzett), így nem igazán triviális per címzett eltérő paraméterezést (privát szabályokat) csinálni, főleg nem triviális DATA fázisban címzettől függő score szerint rejectelni.

És pont ez kellene, hogy a user ingerküszöbétől függően mondjuk 3 - 12 között lehessen tekergetni, hogy mikor hajtjuk el a spammert. Egy info@-nak is jó a 10-12, míg aki megválogatja, hogy kitől fogad levelet :), annak a 3-4-5 is tökéletes tud lenni. Persze az marad, hogy 10-12-nél reject megy, alatta meg a user a saját sieve filterével ki tudja dobni/külön folderbe rakni az ő egyéni preferenciája szerinti spameket. Csak a lusta és ignoráns usereken ez nem segít...

Talan megsem, csak olyan megoldas kell, ami eleg jol azonositja a spameket, es kicsi az FP-rataja...

Félek, hogy elméletileg sem gyártható kellően szelektív szűrő.

probald ki azt, hogy a spamek egy kulon helyre teszed, ahol a leveleknek szabsz egy max. elettartamot, pl. 2 het. Igy a spameket ugyan letarolod, de megsem annyira veszes a szitu. Ami a diszkigenyt illeti, a spamek kicsik. Ami meg a spamszuro cpu-, memoria-, stb. igenyet illeti, egy jo megoldas eseten ez sem okozhat problemat.

Hogy hívnak? ... Simon ZoltánKerényi János - politika, flame és offtopic huppereknek szabadon!

Igen, ismerem az exim eme korlatat, ezert sem jo otlet egy ilyen setup eseten eldobni a spamet...

Félek, hogy elméletileg sem gyártható kellően szelektív szűrő.

dehogynem: a statisztikai szurok kepesek akar userenkent is onallo tokenadatbazist epiteni. Mondjuk egy exim-es setup ezt is elegge le tudja rontani...

Hogy hívnak? ... Simon ZoltánKerényi János - politika, flame és offtopic huppereknek szabadon!

Hat, egy biztos: tokeletes (100.00% pontossagu) megoldas nincs spamre, de azert jo tudni, hogy nem altalaban a free megoldasokkal, hanem (csak) a clamav-val es spamassassin-nal van gond :-) Gondolom, inkabb az SA-val, mert a clamav nem igazan spam ellen valo.

Felre ne erts, nem akarlak lebeszelni a "symantec csodarol", biztos jo cucc, mindenesetre allitom, hogy egy (open source cuccokbol) jol osszerakott rendszer (nem tudom, milyen nalatok az "igen szigoru" exim) kepes mult idobe tenni a spamet.

A fidesz nem birja elviselni a Ferihegy nevet - politika, flame és offtopic huppereknek szabadon!

Az SA-n még lehetne hangolni, de olyan sok nyelven (tippre olyan 20-25 nyelven leveleznek a kollégák) és olyan sokféle email van, hogy inkább 1-2 spam átjutást bevállalunk. A "Symantec csodát" a Windows-os kolléga szereti én elvagyok nélküle, sőt nélküle sincs spam áradat.

A szigorú Exim alatt főleg a szürkeslistát, néhány SMTP szintű korlátot és a Spamassassin-t értem. Egyértelműen az SA-n lehetne még tovább szerelni, bár itt is több plusz is (SPF, DKIM, extra szabályok) fel van téve.

Egyébként ha jóáras megoldásod van, ami openszósz alapon tényleg múltidőbe teszi a spamet az akár érdekes lehet itt is, bár három évre (harmadik év ákciós volt) megvettük épp a szájmantek cuccot év végén . A Symantec licensz nem occó játék. :) Részletek jöhetnek privátban.

Az smtp limitek + a szurkelista teljesen jo, a tovabblepes valami SA-nal jobb dolog lehet. Btw. ha te elvagy a symantec nelkul, akkor (azon tul, hogy a kollega szereti) miert fizettek egy zsak penzt, ha bevallaljatok az SA-n atcsuszo dolgokat? Mert szep dolog a szeretet, csak ez (ha jol ertettelek) eleg sokba faj nektek :-)

Irok azert levelet is, aztan kideritjuk, tudok-e jobbat az SA-nal.

A fidesz nem birja elviselni a Ferihegy nevet - politika, flame és offtopic huppereknek szabadon!

( sj | 2011. 03. 11., p – 10:19 )

csak kivancsisagbol kerdezem, naponta mennyi levellel (ham+spam) kell megbirkozni? Tovabba egeszen pontosan mit kertek telepites (hany gepre kell tenni), ill. tamogatas teren? Vegul ez egy ceg vagy intezmeny?

A fidesz nem birja elviselni a Ferihegy nevet - politika, flame és offtopic huppereknek szabadon!

- napi 15.000 levél összesen ki-be.
- a bejövők 70%-a spam.
- csak szerver oldali megoldás érdekel, 1-2 szerver ha lehet clusterezni
- támogatás: ha kell policy módosítás vagy frissítés ill. egyéb kérdés merül fel, akkor másod és harmad szintű support kéne.
- telepítés: a jelenlegi megoldás (erősen összetett szabályrendszer) lecserélése, teszteléssel konfigolással
- az utolsó kérdésre a válaszom: *.gov.hu végződésű mailcímek ;)

Hát, a napi 15000 levél az túró. (Főleg úgy, hogy ha jól értem ebben a spam-ek is benne vannak.)

A "free" megoldás hátránya itt az erősen összetett szabályrendszer implementálása lesz.
Korábban javasolták a Barracudát, az, vagy egy hozzá hasonló termék szóba jöhet.
Vagy esetleg egy "free" alapon megoldott előszűrés, amivel a meglevő 4 szerverből 1-2(3?) leállítható.

OK, a 15k level nem lesz gond :-) A policy-krol mondj egy kicsit tobbet. En egy statisztikai szuroben utazom, ahol van ugyan policy tamogatas, de lehet, hogy ebben nem egyre gondolunk.

Btw. lehet tudni valamit a jelenleg hasznalt megoldasrol? Pl. mi a neve, mi a baja...

A fidesz nem birja elviselni a Ferihegy nevet - politika, flame és offtopic huppereknek szabadon!

( csabyka v | 2011. 03. 11., p – 10:23 )

barracuda spam szurese? Trey is tesztelte...
--
--ZENEBUZI--

Merem ajánlani, nálunk a 300-as ketyeg. A kisebb modell is elég az általad említett
forgalomhoz (nálunk is kb. annyi most, korábban 30.000 körül), csak azért vettük meg a 300-ast, mert LDAP-on keresztül tudja validálni, hogy van-e olyan címzett. Support+subscription bőven évi 500.000 alatt van. Világbajnok supportja van, eddig bármit bejelentettem, órákon belül rendezték. Azon kevés eszköz közé tartozik, amire azt merem mondani, hogy szinte tökéletes.
Bármi alapján szűrhetsz, van user portal is, meg per user karantén whitwlist, stb.
Keress meg privátban ha elgondolkozol rajta, és nálunk megnézheted élőben. Van már belőle virtual appliance is.
Egy hibáját tudom felhozni, azt, hogy a "Barracuda reputation" általuk karbantartott IP blacklist nálunk túl sok fals pozitívot eredményezett. Ergo ezt nem használjuk csak a többi szűrést. De az vígan elég.

( Umath v | 2011. 03. 11., p – 21:45 )

Tudom ajánlani a következő megoldást: Proxmox Mail Gateway

Van egy ingyenes változata is, igaz korlátozásokkal, (1 domainre fogad leveleket) de még úgy is nagyon jól használható. Nálunk bevált.

( lzrd | 2011. 03. 12., szo – 09:13 )

virusbustert nézted már?
--
unix -- több, mint kód. filozófia.
Life is feudal

( o_O v | 2011. 03. 13., v – 21:08 )

Hello! Valaszolsz a privatokra?
--
1 leszel vagy 0 élő vagy hulla!

( hokuszpk | 2011. 03. 13., v – 21:15 )

tovabbra is az assp -t ajanlom.
az egyik szerveremen ~1200 fiokot visz mogottes sendmaillal, de ha tobb gep van, elbir az tobbet is, az ujban meg mar lehet configuration sharingot is csinalni, szoval fogjuk ra, hogy clusterezheto :D)

( akiron | 2011. 03. 30., sze – 13:20 )

nos, sok sok árajánlat jött azóta, és itt is sok ötletet kaptam, köszönöm szépen mindenkinek.

a szakmai döntés a CLAPF-re esett, főleg a könnyű üzemeltetés és az ár/érték arány alapján. persze a fejlesztővel való személyes találkozás is sokat segített.

... hogy a konkrét vezetői döntés mit választ az már egy másik téma, de mi ezt a megoldást fogjuk ajánlani.

http://clapf.acts.hu/wiki/doku.php/start